苹果不想再重现“艳照门”
来源:雷科技
开头问大家一个问题:
你们平时用各家厂商所提供的网盘服务时,会担心个人隐私被泄露吗?
移动互联网时代走到今天,各种云服务已经渗透进了我们的生活,说是无孔不进都不为过。
首先是手机厂商们,这几年都在妥善自家的云服务,试图用软件生态来留住用户。
比如国内的华米 OV,基本都是开局就送 5GB 云空间,后续不够用才需要用户充钱扩容。
图源:知乎 @机智猫
谷歌倒是比较特殊,它给每个账号免费送了 15G 云空间和 5G 免费相册,而且是互相独立的。
当然啦,厂商并可不是为了做慈善,5GB 云存储对厂商来说成本不高,却能有效留住用户。
大伙都懂的,一旦依靠上手机自带【云服务】,后续想要换机就很麻烦 ...
展开全文
图源:小米云服务
小雷身边就有很多用 iPhone 的同事,就用了多年 iCloud,屯了几十上百 G 的数据在里面。
后来他们也不是没有心动过,看着安卓百瓦快布满地走,影像堆到顶的时候,一度想跳槽到安卓当大爷。
但最后,他们的换机念头,都会被 " 数据迁移麻烦 " 所打消。
只能说苹果作为最早做手机云服务的厂商,确实是太懂软件生态了。
不过,一系列软件服务做得风生水起之时,苹果的云服务安全性也被不少用户所诟病。
于是,苹果痛定思痛,在 iCloud 多次翻车后,最近做了一个违犯祖宗的决定:扩展 iCloud 端对端加密的领域。
图源:Readhub
有小伙伴可能听着很懵啊,何为端对端加密?iCloud 这波改动对用户又是好是坏?
今天我们就把这事儿一块捋清楚。
先给大伙感受一下,以前的 iCloud 有多不安全。
iPhone 在全球拥有极高的市场份额,在美国本土更是几乎人手一台。
这就导致,假如苹果在某个安全环节上没做好,都能导致极其严重的后果产生。
最为典型的翻车事件,莫过于 2014 年的 " 好莱坞女星 iCloud 艳照门 "。
当时有黑客进攻了 iCloud,从中窃取了 200 多张好莱坞知名女星的不雅照,并把这些照片匿名上传到 Reddit 和 4chan 网站。
图源:推特
要知道 Reddit 在海外的地位,相当于咱们国内的贴吧 ...
从这些艳照出现在 Reddit 论坛开始,就注定会被疯狂流传。
更别说,当时 Reddit 的治理员还做了个煽风点火的操作,他直接为这些 " 艳照 " 创建了外链,导致传播起来更方便了。
而 iCloud 作为整个翻车事件的源头,自然是难辞其咎。
当时苹果的态度也很有意思啊。
有网友表达找到了问题,是 iCloud 的 " 查找手机 " 功能有漏洞,导致黑客可以通过 " 跑字典 " 来登录用户账号。
所谓 " 跑字典 " 也不是啥复杂的破解大法,只是黑客用恶意脚本一直猜用户密码,直到可以登录为止。
图源:thenextweb.com
苹果收到这消息后,表面上急忙否认:我不是,我没有,别乱说。
背地里却深夜加班,把这个 Bug 给修复了,实在很难绷得住。
图源:图源:thenextweb.com
后来苹果正式开了个新闻发布会回应此事,同样把锅甩得干干净净。
总结起来,苹果的意思就是 iCloud 没有被进侵,也没有重大漏洞。
这些明星艳照被泄露,完全是因为自己设置的密码太弱了。
图源:腾讯科技
最后这事儿基本是让苹果头铁地撑了过往。
但苹果也口口声声承诺,会加强 iCloud 的安全,比如增强密码保护,启用第三方专用密码等。
本以为这件事情以后,苹果会严防黑客,不再让类似的事情发生。
可时间只过了三年,iCloud 便又迎来了新一轮 " 艳照门 "。
图源:太平洋电脑网
而且与上次相比,2017 年的艳照门影响更严重,因为这次的黑客态度极其嚣张。
黑客先是曝出了女星艾玛 · 沃特森和阿曼达 · 赛佛瑞的裸照,随后还表达陆续有来,完全没把苹果当回事儿 ...
短短三年内,iCloud 就被黑客进侵了两次,搞出两次艳照门事件。
很多用户在那时也开始怀疑,自己同步到 iCloud 上的照片,到底安不安全 ...
随后的几年,iCloud 都陆续出过一些泄露事件,让用户对这项云服务的信赖度日益降低。
图源:FreeBuf
所以小雷在想,苹果这次扩展端对端加密的领域,可能是真的想彻底解决用户数据泄露的问题了。
可能有人会问,所谓的 iCloud 端对端加密真有这么强吗?
虽然实现原理不复杂,但端对端加密可能是目前成本较低,对用户也友好的一种安全加密方式了。
小雷长话短说,给大伙简单解析一下,iCloud 端对端加密的原理。
图源:WSJ
平时我们把文件上传到云盘,整个上传过程是没有经过加密的。
也就是说,文件在本地是啥样的,上传到云盘,就是啥样的。
虽然云服务提供商都会对服务器进行加密保护,并承诺 " 不会查看和出卖用户数据 "。
但,这种事情谁说得准呢?
即使只从技术角度考虑,以往时髦的云服务加密方式,在这个时代,也显得不够安全了。
以前最普及的加密技术是 AES 加密,用户把文件上传到 iCloud 后,服务器会给文件进行 AES 加密。
与此同时,解密的 " 钥匙 " 还会存放在苹果的服务器里。
图源:Apple 官网
有一说一,AES 加密这项技术,本身是足够靠谱的。
但假如黑客进侵了苹果的服务器,并获取了解密 " 钥匙 ",那用户的 iCloud 数据就会被全盘解密,各种重要数据被看清光。
说白了,普通的服务器端 AES 加密技术,在操作逻辑上还是有漏洞。
而端对端加密就很严丝密缝了,用户文件在上传的时候,就会被提前加密,而解密 " 钥匙 " 会放在用户手机本地。
即使黑客进侵了苹果服务器,能窃取的也就只有一堆加密乱码,因为连苹果自己都没有解密 " 钥匙 "。
云服务提供方支持端对端加密,相当于把隐私权全交给用户自己。
即使苹果是作为提供 iCloud 存储的一方,也无法偷看用户数据。
当然啦,果子哥也不是光站着不干事儿,其实它老早就支持了 iCloud 端对端加密。
只是在很长一段时间里,iCloud 支持端对端加密的数据都不多。
什么健康资料啊、付款信息啊、WIFI 密码啊,端对端当时保护的也就是这些周边数据了,对用户来说不痛不痒。
现在苹果终于下定决心,把端对端加密扩展到更多数据。
比如支持照片、备份和备忘录等。
等苹果全量支持这些重要数据的 " 端对端加密 " 后,以往骇人听闻的艳照门应该不会再出现。
当然啦,真要说起来,苹果是在 2020 年就企图全面展开 iCloud 的端对端加密了。
只是当时消息一出来后,FBI 心里很不爽。
" 你要是这么干,可是会助长违法犯罪行为的,以后我们 FBI 想要通过 iPhone 调查嫌疑人数据,还怎么查啊?"
在一番极限拉扯过后,苹果当时服软了,从全量端对端加密,转而只支持部分敏锐数据的端对端加密。
而在这几年里,苹果确实为 FBI,提供过不少犯罪嫌疑人的 iCloud 备份数据。
但作为商业公司,苹果可能也不想一直当工具人了。
无论是出于用户口碑,还是整体盈利,加强对用户隐私的保护,都是果子哥应该做的。
小雷看到,在苹果这几天官宣要扩展端对端加密领域后,相似的剧情再次发生。
图源:IT 之家
没错,FBI 又双叒来阻止了,还振振有词说道:
" 这阻碍了我们保护美国人民免受犯罪行为影响的能力,包括网络进攻和针对儿童的暴力,以及贩毒、有组织犯罪和恐惧主义。在这个网络安全和要求‘设计安全’的时代,联邦调查局和执法伙伴需要‘设计合法的访问’。"
很显然,苹果这次不企图妥协。
人家高管都出来接受摘访,公开颂扬端对端加密技术的好处,船头方向已定,难以掉头。
不过在扩展端对端加密领域后,苹果不得不面对一个问题,那就是对违规内容的审查难度变大。
究竟自己都无法解密用户的 iCloud 数据了,自然难以阻止违规内容的传播。